Кумулятивный патч что это
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Как работает новая накопительная модель обновления Windows
Своевременное и полное обновление является залогом безопасной и стабильной работы современных операционных систем. Поэтому системные администраторы должны всегда иметь актуальные знания о работе систем автоматического обновления. Однако практика показывает, что внесенные Microsoft осенью 2016 года изменения в модель работы Windows Update до сих пор остаются неизвестными достаточно большому количеству специалистов, что способно вызвать серьезные проблемы в работе службы обновления Windows.
Надо отметить, что данные нововведения уже успели собрать волну негативных отзывов, особенно от владельцев Windows 7, для неподготовленного администратора ситуация выглядит примерно следующим образом: «столько лет все работало, а тут взяли и поломали. «. Однако, прежде чем делать скоропалительные выводы следует разобраться в причинах, побудивших Microsoft к изменению модели обновления. Для примера мы будем рассматривать Windows 7, так как она позволяет наиболее полно показать ситуацию, однако сказанное ниже справедливо для всех выпусков Windows, исключая Windows 10, в которой новая модель была внедрена изначально.
Основная проблема старой модели обновления заключалась в том, что чем больше времени проходит с момента выпуска ОС, тем сложнее и запутаннее становится ситуация с обновлениями. Во-первых, это большой объем обновлений которые следует скачать и установить после чистой установки ОС. Подобную картину, мы думаем, неоднократно видел каждый:
В общей сложности, сразу после установки нас ожидают около 200 обновлений, суммарным объемом свыше 600 МБ, но это только начало «большого пути», многие обновления требуют наличия других обновлений и поэтому сразу после установки этих вы получите порцию следующих, а затем ситуация повторится.
По данным Microsoft, начиная с выпуска Windows 7 SP1 было опубликовано свыше 4000 обновлений. Конечно, общее число обновлений к установке будет меньше, так как многие обновления были заменены или поглощены более свежими версиями, но это только запутывает ситуацию и создает сильную фрагментацию конечных систем.
Косвенно оценить масштаб проблемы можно опираясь на размер ОС, так после чистой установки размер занимаемый Windows 7 составляет около 9,25 ГБ, после последовательной установки всех обновлений он вырастет до 26 ГБ, очистка от устаревших обновлений позволит уменьшить занимаемое место примерно до 18 ГБ. Таким образом объем выбывших из игры обновлений приближается к объему чистой системы и составляет около 8 ГБ.
Мы неоднократно сталкивались с ситуацией, когда внешне одинаковые системы, на одинаковом железе, с одинаковым набором софта вели себя в некоторых ситуациях по-разному, в большинстве случаев ситуацию спасало методичное выкачивание и установка всех доступных обновлений.
В связи с этим, начиная с октября 2016 года, все системы, выпущенные перед Windows 10 переводятся на новую модель обновлений, которую схематически можно представить следующим образом:
Начиная с этого момента будет доступно два основных вида обновлений: обновления безопасности и ежемесячные накопительные пакеты. Обновления безопасности не являются накопительными и содержат пакеты исправлений только за текущий месяц, данное обновление предназначено для корпоративных клиентов и распространяется только через WSUS и SCCM, а также доступно для загрузки вручную в Каталоге Microsoft Update.
Ежемесячные накопительные пакеты содержат в себе обновления безопасности и обновления ОС за текущий и предыдущие месяцы. Они доступны для загрузки через Windows Update, WSUS, SCCM и Каталог Microsoft Update.
Оба типа пакетов выпускаются каждый второй вторник месяца. Так, например, во второй вторник октября будут выпущены обновление безопасности за октябрь и накопительный пакет, в который войдет октябрьское обновление безопасности и октябрьские обновления ОС.
Каждый третий вторник месяца дополнительно выпускается предварительный ежемесячный пакет обновлений, который кроме содержимого октябрьского пакета содержит предварительные версии обновлений ОС за следующий месяц (ноябрь), он не является обязательным, но может быть загружен для тестирования.
В декабре выйдет обновление безопасности за декабрь и ежемесячный пакет, который будет содержать обновления уже за три месяца.
На этом месте внимательный читатель заметит, что обновления в накопительные пакеты начинают собираться только с октября 2016, а как быть с обновлениями, выпущенными до этого времени?
Понимая, что нельзя в одночасье поменять всю систему, Microsoft запланировала поэтапный переход на новую модель:
Кроме этого в марте 2016 года был выпущен Convenience Rollup для Windows 7 (KB3125574), который содержит все обновления начиная с выпуска SP1 в 2011 году. Таким образом для обновления системы в период до июля 2017 года вам понадобится:
Еще один актуальный вопрос, который возникает после ознакомления с новой моделью обновлений, это размер ежемесячного пакета обновлений. Однако, вопреки опасениям многих, катастрофического размера загружаемых обновлений не произойдет. Например, Convenience Rollup, содержащий обновления за 5 лет, имеет объем всего 476,9 МБ. Это объясняется тем, что вместо последовательного набора обновлений данный пакет содержит самые последние версии файлов, исключая все промежуточные варианты. Объем чистой системы после установки Convenience Rollup также вырастет всего лишь с 9,25 ГБ до 12 ГБ.
Таким образом многочасовые поиск, скачивание и установка обновлений потихоньку отходят в прошлое и очень скоро установив систему с дистрибутива любой степени давности достаточно будет скачать единственный пакет обновлений относительного небольшого размера и получить актуальную версию используемой системы.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
990x.top
Простой компьютерный блог для души)
Кумулятивное обновление — что это?
Приветствую. В данном материале разберемся с таким понятием как кумулятивное обновление. Постараюсь написать все простыми словами.
Кумулятивное обновление — что это такое?
Новый вид обновления, при котором система получает кумулятивный пакет, содержащий текущие, а также предыдущие обновления.
В OS Windows 10 такая схема применялась изначально.
Простыми словами: кумулятивное обновление — это пакет, который содержит все обновы, которые вышли ранее. Такой пакет может весить много, но зато на один раз вы установите все что нужно, при этом процесс установки оптимизирован и происходит быстрее. Это удобно и нет путаницы с обновами.
С использованием нового подхода, операционная система будет получать два типа обновлений:
Какие проблемы решает кумулятивное обновление?
Простыми словами проблема в том, что постоянно куча обнов — одни новые, другие старые, третьи были заменены. А четвертые — требуют наличия других патчей. Результат — сложная запутанная система, которую распутать можно, если ставить кумулятивное обновление, которое уже содержит все что нужно, учитывая все зависимости, новые/старые версии обнов и прочее.
Пример — чистая винда 7, только поставили, при запуске Центра обнов — видим примерно такую картинку:
На самом деле обнов может быть намного больше, 600 мегов — еще мало.
Когда именно приходят обновления?
Оба варианта обнов приходят каждый второй вторник месяца. Получается один раз в месяц.
Дополнительно каждый третий вторник выходит пакет, который содержит обновы за следующий месяц. Этот пакет устанавливать необязательно, он предназначен только для тестирования, выявления ошибок, информация о которых потом возможно будет отправлена на сервера Microsoft. Другими словами данный пакет используется для тестирования, чтобы в следующем месяце выпустить пакет без багов и глюков.
Заключение
Как Windows 11 уменьшила размер кумулятивных обновлений на 40%
Раз в месяц Microsoft выпускает кумулятивное обновление Windows, которое включают в себя все предыдущие. То есть для приведения системы в актуальное состояние требуется установка единственного апдейта.
Учитывая огромное количество исправлений в Windows, кумулятивное обновление без оптимизации может сильно вырасти в размере, что неприемлемо. Например, его не смогут скачать пользователи с медленным подключением к интернету, а только в США таких 20%. Поэтому уменьшение размера обновлений — приоритетная задача. Теперь для неё нашлось решение.
Если вкратце, то раньше каждое обновление включало в себя прямую дельту изменений системы, а также обратную дельту для приведения системы к базовой RTM, чтобы установить новую прямую дельту через месяц. Однако выяснилось, что обратную дельту можно вычислить в процессе установки обновления. Теперь Microsoft намерена запатентовать этот алгоритм.
Проблема с большим размером обновлений Windows
С переходом сотрудников на удалённую работу большой размер апдейтов стал создавать проблемы для многих компаний. У них нет скоростного интранета. Сотрудники подключаются к корпоративному VPN и скачивают обновления через домашний интернет. Для оперативного распространения патчей безопасности очень важно свести к минимуму сетевой трафик, чтобы обеспечить защиту удалённых сотрудников, где бы они ни находились.
В этой статье рассказывается о новой технологии сжатия, которая позволила уменьшить размер кумулятивных обновлений в Windows 11 на 40% (аналогичная система реализована в Windows 10).
Разработчикам была поставлена задача уменьшить размер обновлений Windows 11 со следующими условиями:
Как выпускаются новые версии Windows
Windows 10 с версии 1809 использовала одновременно прямое и обратное разностное сжатие, где учитываются прямая и обратная разности (дельты) между тремя версиями системы: текущая 
, целевая 
и базовая исходная 
.
Таким образом, в качестве промежуточного состояния Windows возвращается к своей базовой версии, поэтому с каждым обновлением поставлялись прямая и обратная дельты.
Хотя прямая и обратная дельты симметричны по функции, их содержимое в значительной степени отличается. Это значит, что двунаправленная дельта, которая содержит и новые, и старые данные, не намного меньше по размеру, чем старые файлы Patch Storage Files (PSF) в версиях Windows 10 1803 и старше, куда записывались прямые дельты для всех возможных сочетаний и , то есть без использования обратных дельт и промежуточной базы .
Начиная с Windows 10 1809 механизм изменили — и ввели обратную дельту, благодаря которому размер кумулятивных обновлений всегда оставался практически одинаковым.
Дельта-пары в Windows Update. Чтобы создать целевую ревизию, к базовой версии файла применяется прямая дельта (forward delta). Затем к целевой ревизии применяется обратная дельта (reverse delta), чтобы создать промежуточную базовую версию для следующей прямой дельты через месяц
Чем плоха двунаправленная дельта
Дельты создают целевую версию путём преобразований и исправлений базовой версии. В одних случаях данные добавляются, в других — удаляются. Поэтому двунаправленная дельта хранит и добавленное, и удалённое содержимое. Поскольку данные в прямой и обратной дельтах сильно не совпадают, двунаправленная дельта не слишком эффективна.
Генерация данных для обратного обновления
Разработчики Microsoft нашли способ «зафиксировать» на этапе применения дельты все преобразования и исправления — и эффективно перекодировать их из прямой в обратную дельту (n→0), что избавляет от необходимости распространять обратные дельты в паре.
Примечание. Microsoft пишет, что предварительная заявка на патент США № 63/160,284 с описанием этого механизма «Генерация данных для обратного обновления» подана 12 марта 2021 года. К сожалению, найти заявку на сайте патентного ведомства не удалось.
Генерация данных для обратного обновления происходит в процессе применения прямой дельты с инструкциями вставки и удаления данных
Маппинг виртуальных адресов в ассемблере
Архитектурно продвинутые алгоритмы дельта-сжатия, такие как MSDelta от Microsoft, при изменении адреса функции изменяют также виртуальные адреса в ассемблере (маппинг виртуальных адресов). Это важно, поскольку даже небольшие исправления в ассемблерном коде сдвигают адреса последующих функций в бинарной программе. Без ремаппинга виртуальных адресов изменение ассемблерного кода в одной строке может привести к тому, что придётся изменять виртуальные адреса для десятков тысяч вызовов.
Маппинг выполняется путём побайтового дизассемблирования кода программы и идентификации виртуальных адресов. Виртуальные адреса логически соответствуют точкам входа для функций ассемблерного кода и смещаются, когда ассемблерный код обновляется в патче. Дельта-движок отслеживает эти сдвиги — и они фиксируются в таблице сопоставления. Маппинг во время применения дельты — одна из важных причин, почему современные архитектурно продвинутые алгоритмы дельта-сжатия настолько эффективны.
Пример, как все инструкции call в ассемблере x86 сдвигаются после добавления всего одной инструкции mov по адресу 0x18000097D3 (строка 17)
Обратный маппинг виртуальных адресов в ассемблере
Как и обычные изменения данных, преобразования адресов можно «зафиксировать» и отменить. При этом возникают небольшие накладные расходы, поскольку не всегда отображение выполняется в точности. Если прямое отображение конфликтует с наблюдаемым обратным, то для выравнивания необходимо использовать дополнительную инструкцию исправления. Это можно сделать сразу на месте, и тогда обратный маппинг обеспечит почти такую же производительность, как обратная дельта с прямым маппингом из дельты, сгенерированной на сервере.
Вывод
Возможность сгенерировать обратное обновление обеспечивает эффективный способ распространения прямых дельт с возможностью вернуть систему в исходное состояние. Microsoft пишет, что в Windows 11 такой подход сократил размер обновлений на 40%.
Security Week 37: патчи Windows станут кумулятивнее, Google против HTTP, уязвимость в MySQL
С октября Microsoft меняет политику доставки обновлений для ряда операционных систем (новость, пост на Technet). С целью упрощения процесса обновления (и, вероятно, по многочисленным заявкам трудящихся) Windows 7 и 8.1, а также Windows Server 2008 и 2012 будут обновляться одним большим патчем раз в месяц. Преимущества такого подхода очевидны: достаточно посмотреть на дату последнего обновления, чтобы понять актуальность установленных патчей.
Очевидны и недостатки: возможности установки патчей по выбору больше не будет, все будет загружаться и ставиться одним куском. Если какой-то патч оказывается несовместим с установленным ПО или определенными настройками системы — можно будет отказаться только от всего ежемесячного апдейта сразу. Именно с установкой по выбору Microsoft и планирует бороться: ведь по сути такой подход приводит к фрагментации, вместо одной версии Windows приходится иметь дело чуть ли не с десятком, что усложняет и поддержку, и тестирование.
Впрочем, остается одна лазейка: кумулятивный патч включает в себя и обновления безопасности, и обновления, направленные на повышение надежности работы. Можно выбрать и устанавливать только security-фиксы и больше ничего, но эта опция рассчитана на клиентов из числа крупных компаний. Новая политика может выйти боком при использовании специализированного софта с жесткими требованиями по совместимости. Примеров, когда выход патча ломал совместимость немало: можно вспомнить проблемы с софтом от Citrix после апдейта Windows 10, или скажем поломку системы конфигурации через Powershell (вот тут интересный момент — по ссылке левая рука Microsoft жалуется на баги у правой).
Изменения политики обновлений Microsoft отражают текущее состояние битвы между надежностью и безопасностью. Максимально надежен софт, который не обновляется годами, он же максимально небезопасен. В ситуации, когда обнаружение новых уязвимостей (да и просто багов) неизбежно, приходится делать выбор, и Microsoft делает выбор в пользу защиты от взлома. Это похвально, но вот ведь любопытная ситуация получается: каждый месяц новый набор патчей для Android вновь поднимает тему фрагментации, а ведь на десктопах-то это куда более серьезная проблема. С точки зрения безопасности идеальный сценарий — это доставка обновлений (как минимум — заплаток) в момент их готовности (ну типа как в Gentoo). Именно такую стратегию, с регулярными взрывами недовольства пользователей, применяет, например, Facebook. Оба идеальных сценария (максимум надежности или максимум безопасности) недостижимы, но правильный баланс нужно искать. Не исключено, что тут пригодится опыт вендоров защитного софта: они в силу специфики работы рассылают обновления несколько раз в сутки уже много лет.
Раскрыта информация о критической уязвимости в Oracle MySQL и совместимых продуктах
Исследователь Давид Голунски из творческого объединения Legal Hackers на этой неделе частично раскрыл информацию о серьезной уязвимости в Oracle MySQL, которая также затрагивает зависимые продукты, в частности MariaDB и PerconaDB. Эта новость неплохо дополняет предыдущую и также поднимает вопрос о необходимости стандарта как для доставки патчей, так и для раскрытия информации об уязвимостях. Баг в MySQL (CVE-2016-6662, подвержены версии 5.7.14, 5.6.32 и 5.5.51 и более ранние UPDATE: в версиях 5.7.15, 5.6.33 и 5.5.52 проблема вроде бы была по-тихому решена) позволяет внедрять закладки в конфигурационные файлы СУБД, что в свою очередь может привести к выполнению произвольного кода во время ближайшего перезапуска. Уязвимость может быть задействована как при наличии доступа к серверу, так и удаленно, в случае небезопасной конфигурации системы (доступ на запись в конфиги у пользователя mysql).
Подробнее о сценарии (довольно нетривиальном) эксплуатации уязвимости можно почитать по ссылке выше. Важный момент заключается в том, что патчи у совместимого ПО уже есть, а вот для самой MySQL — пока нет, и видимо не будет до 18 октября. Дело в том, что Oracle выпускает заплатки на поквартальной основе, и до следующего релиза (предыдущий в июле закрыл 276 уязвимостей) ничего не произойдет. Возникает вопрос — а почему собственно исследователь раскрыл информацию до выпуска патчей? Аргументация с этой стороны следующая: уязвимости закрыты в совместимом ПО (а значит злоумышленник может получить информацию об уязвимости, проанализировав изменения), а с момента отправки информации вендору прошло 40 дней.
40 дней — это в данном случае определенно не аргумент, а вот выпуск патчей одной дыры разными вендорами вразнобой пожалуй действительно представляет проблему. Получается, что все хороши. Добро пожаловать в дивный новый, крайне неритмичный мир безопасности программного обеспечения. Кстати, у Oracle нет публичной программы вознаграждения за найденные уязвимости, а в прошлом году CSO Oracle и вовсе нелестно отзывалась о вайт-хетах — мол, нечего ломать наши продукты без разрешения. Пост быстро удалили, но осадок остался.
Google Chrome будет помечать HTTP-only сайты как небезопасные
С января 2017 года Google Chrome начнет помечать сайты, обеспечивающие подключение только по незащищенному протоколу HTTP, как потенциально небезопасные. Сейчас Chrome отмечает эти сайты нейтрально (в отличие от безопасных проверенных подключений по HTTPS), но в Google справедливо считают, что ситуация должна измениться. Переход будет производиться в несколько этапов, и в январе небезопасными станут только те сайты, которые передают по HTTP пароли или данные кредиток (открытым текстом!), что, конечно, совсем уж за гранью добра и зла.
В посте команды Google интересен и такой момент: реакция пользователей на различные методы сортировки веб-сайтов была проверена исследованием, и, ожидаемо, внимание обращают только на явное сообщение о проблеме. Все остальные «вы знаете, тут может быть не все хорошо» игнорируются. Интересно, как часто игнорируются явные сообщения о небезопасности? Разработчики браузеров оказываются таким образом лицом к лицу с армией пользователей, которая вовсе не обязана разбираться в тонкостях сетевых протоколов. В результате приходится сводить многолетний опыт защиты информации в сети к чему-то очень простому и понятному:
Следующим этапом наступления на плейнтекстовый интернет станет предупреждение обо всех HTTP-сайтах в инкогнито-режиме, в котором пользователи, по идее, должны больше заботиться о приватности. И, наконец, в планах Google распространить политику на все HTTP-соединения для всех пользователей.
Что еще произошло:
Между тем у Microsoft состоялся последний еженедельный патч по старым правилам.
Троян, маскирующийся под гид для Pokemon Go, протащили в Google Play. 500 000 загрузок.
И на закуску — утечка паролей из QIP открытым текстом.
Древности
Активизируется только в DOS 3.30, определяет (сканированием памяти) точки входа обработчиков 13-го и 21-го прерывания в DOS и активно их использует при заражении файлов. Располагается в самых старших адресах памяти, корректируя последний MCB и уменьшая размер доступной памяти (слово по адресу 0000:0413).
При заражении ведет подсчет уже зараженных файлов, и как только встречается 30-й зараженный файл, устанавливает прерывание 8h на подпрограмму генерации звукового сигнала. Перехватывает int 8 и int 21h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 89.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Жизнь станет проще. Windows 7 и 8.1 переходят на модель накопительных обновлений
Первый ежемесячный накопительный апдейт выйдет в октябре
В мае 2016 года Microsoft сделала хорошее дело и собрала в единый пакет Convenience Rollup все обновления для операционной системы Windows 7 с момента выхода SP1 в 2011 году. Накопительный пакет опубликован на официальном сайте Microsoft Update Catalog.
Тогда же в мае компания объявила, что обновления, не связанные с безопасностью, для Windows 7 SP1, Windows 8.1, Windows Server 2008 R2 SP1, Windows Server 2012 и Windows Server 2012 R2, будут выходить единым пакетом ежемесячно. Сейчас по многочисленным просьбам пользователей Microsoft приняла решение внести некоторые изменения в процедуру. Решено, что обновления будут не просто ежемесячными, а кумулятивными, то есть в каждый момент времени будет доступно только одно самое актуальное обновление, которое включает в себя все предыдущие. Это значительно облегчит жизнь системным администраторам и обычным пользователям.
За счёт перехода на модель кумулятивных ежемесячных обновлений Microsoft рассчитывает решить несколько проблем. Самая главная из них — фрагментация, когда все операционные системы на компьютерах пользователей отличаются друг от друга, то есть на всех установлен разные наборы обновлений. Из-за разных комбинаций установленных системных файлов возникают ошибки зависимостей и проблема с установкой новых апдейтов. Часто бывали ситуации, когда для установки одного обновления требовалось установить предыдущий, а для предыдущего, в свою очередь, надо было установить ещё один. Теперь такой головной боли у пользователей не будет.
Устранение фрагментации и кумулятивные обновления упрощают администрирование системы и уменьшают трудозатраты на установку обновлений.
Единые месячные кумулятивные обновления Monthly Rollup компания Microsoft начнёт выпускать с октября 2016 года. Обновления будут публиковаться в системе Windows Update (WU), WSUS, SCCM, а также на сайте Microsoft Update Catalog. Кстати, с этого сайта скоро удалят компонент ActiveX, так что он будет работать в любом браузере, а не только IE.
Октябрьский пакет обновлений будет включать в себя все обновления за последний месяц. Следующий ноябрьский пакет заменит его, то есть будет включать в себя и октябрьский пакет, и все свежие обновления. Новые кумулятивные обновления через Windows Update (WU) и WSUS будут распространяться через экспресс-пакеты, то есть как дополнения к предыдущему пакету, для экономии трафика и места на диске.
Постепенно Microsoft будет включать в накопительный пакет и те обновления, которые вышли в предыдущие годы, так что он станет по-настоящему кумулятивным.
Microsoft обещает подробно отчитываться, какие конкретно KB включены в каждый пакет, и выпускать release notes, как в Windows 10.
Не совсем понятно, останется ли у пользователя выбор, какие обновления устанавливать, а от каких отказаться. Как известно, вместе с обновлениями безопасности Microsoft иногда подсовывает ненужные апдейты. Будем надеяться, что стандартная команда для удаления ненужных обновлений будет работать, как и раньше.
wusa.exe /kb:3080149 /uninstall /quiet /norestart
Вместо /kb:3080149 здесь следует указывать номер обновления для удаления.
Кроме накопительного пакета Monthly Rollup (обновления безопасности + обычные обновления), Microsoft с октября начнёт выпускать отдельно ежемесячные обновления безопасности, которые включают в себя все патчи безопасности за месяц. Эти патчи больше не будут распространяться по одному. И отдельные обновления безопасности не будут доступны через Windows Update, а только через WSUS, SCCM и Microsoft Update Catalog.
С накопительными обновлениями жизнь у пользователей Windows 7 и 8.1 станет проще. Новая система должна работать так же, как в Windows 10.